マイクロソフトは5月9日,MSN Messengerなどに含まれるActive Xコントロール「MSNチャットコントロール」の深刻なセキュリティ・ホールを公表した。同コントロールがインストールされた環境で,ある細工が施されたWebページやHTMLメールを閲覧すると,任意のプログラムが実行される恐れがある。

 影響を受けるのは,MSNチャットコントロールを含むMSN MessengerやExchange Instant Messenger。ただし,Messengerなどを使用していなくても,意識せずにチャットコントロールをインストールしている場合が十分ありうるので,すべてのInternet Explorer(IE)ユーザーが対策を施す必要がある。セキュリティ・ホール情報と同時に公開されたパッチ(修正プログラム)を適用すれば影響を回避できる。

 また,同社のチャット・サービス「MSNチャット」を利用しても同コントロールはインストールされるので,一度でもサービスを利用したことがあれば影響を受ける。なお,Windows XPにインストールされているWindows Messengerは同コントロールを含まないので影響を受けない。

 MSNチャットコントロールには,バッファ・オーバーフローのセキュリティ・ホールが存在する。そのため,コントロールを呼び出して,長い文字列(パラメータ)を渡すようなHTMLページ作成し,ユーザーにIEやOutlook Express/Outlookで閲覧させれば,文字列に仕込んだプログラムをユーザーのパソコン上で実行させることが可能となる。非常に深刻なセキュリティ・ホールであり,これを悪用したウイルス(ワーム)を作成することも可能である。

 公開されているパッチを適用すれば,影響を回避できる。また,HTMLページからコントロールを呼び出せないように,IEやOutlook/Outlook Expressを設定変更することでも,影響を回避できる。具体的には,セキュリティ設定でアクティブ スクリプトの機能などを無効にする(関連記事)。Outlook/Outlook Expressでは,「制限付きサイトゾーン」でメールを開くようにする(Outlook 2002 や Outlook Express 6 ではデフォルトで制限付きサイトに設定されている)。とはいえ,設定を変更していてもパッチの適用は不可欠だ。

 今回のパッチは,MSNチャットコントロールを更新するものではない。レジストリを変更して,IEからMSNチャットコントロールを利用できなくするプログラムである。そのため,米Microsoftでは,パッチの適用は暫定的な処置であるとしている。パッチを適用することが第一であるが,その後で修正されたチャットコントロールやMSN Messengerなどをインストールする必要がある。

 修正されたチャットコントロールなどのダウンロード方法については,米Microsoftのページには詳しいが,マイクロソフトのページにはまだ情報がない。公開され次第,ユーザーは修正版をインストールしたい。
【5月10日追記】マイクロソフトは5月9日付けで,要約情報ではない日本語情報を公開した。その中では,修正されたチャットコントロールなどのダウンロード方法を紹介している。

◎参考資料
MS02-022に関する情報(要約情報,マイクロソフト)
Unchecked Buffer in MSN Chat Control Can Lead to Code Execution(英語,米Microsoft)
MSN Messenger OCX Buffer Overflow(英語,今回のセキュリティ・ホールを発見した米eEye Digital Security)
MSNチャットコントロールの未チェックのバッファによりコードが実行される (Q321661) (MS02-022)(マイクロソフト)

(勝村 幸博=IT Pro)